پياده سازي استاندارد هاي امنيتي در مسيرياب ها

Gh_Namazi · Tuesday 20 December 2005, 12:26 PM

مترجم : مهدي سعادت (مدير واحد امنيت اطلاعات مشورت)
ناشر : مهندسي شبكه همكاران سيستم [ ليست کامل مقالات ]
تاريخ انتشار : 23 آذر 1384

شكل زير نمونه ي از يك شبكه عمومي مي باشد، ساختار و آدرس دهي كه در قسمت هاي مختلف به آنها اشاره شده است، مطابق شكل اين شكل مي باشد:

شكل فوق بعنوان نمونه امني از شبكه نيست در حاليكه بيشتر شبكه هاي سازمان ها به صورت فوق پياده سازي مي شوند

امنيت دسترسي به مسير ياب:

در اين قسمت روشهايي را براي محافظت از خود مسير ياب بررسي مي كنيم كه شامل دسترسي فيزيكي، محافظت از اسامي كاربري روي مسيرياب، محافظت از نرم افزار مسيرياب، وظايف مدير شبكه، و تنظيماتي كه بايد رعايت شود. هنگامي كه به امنيت فكر مي كنيد، پياده سازي اين شرايط براي تمامي تجهيزات روي شبكه بايد انجام شود.

امنيت فيزيكي:

اگر شخصي به قسمتي از شبكه دسترسي داشته باشد، نمي توان از تغييراتي كه اعمال مي كند جلوگيري نمود

و به راحتي مي تواند كل شبكه را تسخير كند. بنابراين حدود دسترسي به منابع و اطلاعات در شبكه از موارد اوليه است كه بايد رعايت شود. يكي از قابليت هاي سيستم هاي امنيتي تعريف محدوديت هاي دسترسي مي باشد.

عناصر تشكيل دهنده ساختار شبكه مانند مسيرياب ها از دو جهت نقش مهمي را در شبكه ايفا مي كنند يكي حفاظت از بخش هايي كه توسط آنها تفكيك شده و ديگر آنكه اگر داراي امنيت مناسب نباشد جهت حمله به نقاط ديگر مورد استفاده قرار مي گيرد.

تجهيرات شبكه، از جمله سوئيچ ها و مسيرياب ها بايد در مكاني قرار داشته باشند كه از لحاظ دسترسي فيزيكي محدود شده باشند. و دسترسي به اين مكان بايد توسط اشخاصي كه داراي دسترسي مديريتي هستند صورت گيرد. اين منطقه مي بايست توسط رويه روال هاي امنيتي مانند درب هاي امنيتي، و يا كنترل هاي الكترونيكي و... حفاظت شوند ولي اين حفاظت نبايد اشكالي در ورود مديران به اين منطقه ايجاد كند.

حفاظت فيزيكي به اين دليل مهم مي باشد كه با دسترسي به مسيرياب به راحتي و با استفاده از مراحل حذف كلمه رمز(Password recovery) قابل اجرا است. با اين روش مي توان براحتي به قسمت هاي حساس مسيرياب دست يافت. روشهاي دسترسي به بخشهاي حساس در مسيرياب هاي مختلف متفاوت مي باشد و معمولا مراحل مشخص مي باشد. براي حذف كلمه عبور مي بايست مدير و يا هكر بايد به پورت كنسول مسيرياب متصل شده و مراحل زير را انجام دهد:

- تنظيم مسيرياب براي اينكه در مرحله بوت شدن فايل هايي كه از قبل وجود دارند(NVRAM) خوانده نشده و مستقيم وارد قسمت مديريتي مسيرياب شود.

- راه اندازي مجدد مسيرياب

- دسترسي به محيط Accessبدون نياز به نام كاربري

- بررسي كلمه هاي عبوري و يا حذف فايل هاي ذخيره شده

- تنظيم مسيرياب براي اينكه فايل جديد ذخيره شده در (NVRAM) خوانده شود

- راه اندازي مجدد مسيرياب

دليل ديگري كه امنيت فيزيكي مي بايست رعايت شود، اين است كه مسيرياب ها داراي حافظه هاي جانبي هستند. هكر با استفاده از حافظه هايي كه داراي سيستم عامل ميباشد و تمامي تنظيماتي كه مورد نياز هكر مي باشد روي اين سيستم عامل اعمال شده است، براحتي مي تواند اين حافظه را جايگزين كرده و مسيرياب را مجدد راه اندازي نمايد اين نوع از حمله، اگر حرفه اي انجام شود براحتي قابل تشخيص نخواهد بود.

محيط قرار گيري مسيرياب بايد عاري از امواج مغناطيسي و همجنين از لحاظ رطوبت و دما كنترل شده باشد.

نسخه هاي نرم افزاري مسيرياب:

نرم افزار مسيرياب در بازه زماني مختلف بروز رساني شده و مشكلات مربوط به آن بر طرف مي شود از اينرو دريافت اين نرم افزار و كنترل اينكه مسيرياب داراي نرم افزار بروز مي باشد، از روشهاي جلوگيري از حمله مي باشد. براي كنترل نسخه نرم افزار مسيرياب پس از ارتباط با مسيرياب از دستور show version استفاده كنيد.

تنظيم مسيرياب و دستورات آن:

پس از ارتباط با مسيرياب و login كردن، در محيط user mode كه به نام Exec mode هم معروف است قرار خواهيد گرفت. اين محيط دسترسي محدودي را به كاربر مي دهد. دسترسي به دستوراتي كه شامل تغيير تنظيمات اصلي مي باشد در محيط Priviledg EXEC mode اجازه استفاده دارند. اين محيط بعنوان Enable mode نيز شناخته مي شود. پس از ورود به محيط فوق، براي ايجاد انواع تغييرات و تنظيمات روي مسيرياب از دستور Config t استفاده كنيد. قسمت هاي مختلفي براي اعمال تنظيمات موجود است كه تعدادي از آنها عبارتند از :

• interface (config-if): is used to configure aspects of a particular interface like FastEthernet0, Ethernet 0/1, or Vlan2.

• Line (config-line): is used to set up the console port, auxiliary port and virtual terminal lines.

• Access-list: There are two types of IP named access lists, extended (config-ext-n) and standard (config-std-n), which can be used instead of numbered lists. Access-list mode is used for building named access lists.

• Route (config-route): is where specific parameters can be set and modified for a selected routing protocol.

در جهت استاندارد كردن نحوه تصديق هويت و مشخص كردن حدود دسترسي و امكان رديابي عملكرد در مسيرياب، امكان جديدي رو مسيرياب ها از نسخه 11.1 به بعد ايجاد شد كه به authentication, (authorization, accountig)AAA معروف است. با استفاده از اين قابليت ميتوان كنترل هاي امنيتي بيشتري را روي مسيرياب پياده سازي نمود.كه نحوه عملكرد آنها را در بخش بعدي بررسي مي كنيم.

Tuesday 20 December 2005, 12:26 PM	#1
Gh_Namazi قاسم نمازي - ناظم کل سایت تاریخ عضویت: Wednesday 19 January 2005 نوشته ها: 284 با تشکر: 409 تشکر شده 192 بار 70 پست	پياده سازي استاندارد هاي امنيتي در مسيرياب ها مترجم : مهدي سعادت (مدير واحد امنيت اطلاعات مشورت) ناشر : مهندسي شبكه همكاران سيستم [ ليست کامل مقالات ] تاريخ انتشار : 23 آذر 1384 شكل زير نمونه ي از يك شبكه عمومي مي باشد، ساختار و آدرس دهي كه در قسمت هاي مختلف به آنها اشاره شده است، مطابق شكل اين شكل مي باشد: *شكل فوق بعنوان نمونه امني از شبكه نيست در حاليكه بيشتر شبكه هاي سازمان ها به صورت فوق پياده سازي مي شوند* امنيت دسترسي به مسير ياب: در اين قسمت روشهايي را براي محافظت از خود مسير ياب بررسي مي كنيم كه شامل دسترسي فيزيكي، محافظت از اسامي كاربري روي مسيرياب، محافظت از نرم افزار مسيرياب، وظايف مدير شبكه، و تنظيماتي كه بايد رعايت شود. هنگامي كه به امنيت فكر مي كنيد، پياده سازي اين شرايط براي تمامي تجهيزات روي شبكه بايد انجام شود. امنيت فيزيكي: *اگر شخصي به قسمتي از شبكه دسترسي داشته باشد، نمي توان از تغييراتي كه اعمال مي كند جلوگيري نمود* و به راحتي مي تواند كل شبكه را تسخير كند. بنابراين حدود دسترسي به منابع و اطلاعات در شبكه از موارد اوليه است كه بايد رعايت شود. يكي از قابليت هاي سيستم هاي امنيتي تعريف محدوديت هاي دسترسي مي باشد. عناصر تشكيل دهنده ساختار شبكه مانند مسيرياب ها از دو جهت نقش مهمي را در شبكه ايفا مي كنند يكي حفاظت از بخش هايي كه توسط آنها تفكيك شده و ديگر آنكه اگر داراي امنيت مناسب نباشد جهت حمله به نقاط ديگر مورد استفاده قرار مي گيرد. تجهيرات شبكه، از جمله سوئيچ ها و مسيرياب ها بايد در مكاني قرار داشته باشند كه از لحاظ دسترسي فيزيكي محدود شده باشند. و دسترسي به اين مكان بايد توسط اشخاصي كه داراي دسترسي مديريتي هستند صورت گيرد. اين منطقه مي بايست توسط رويه روال هاي امنيتي مانند درب هاي امنيتي، و يا كنترل هاي الكترونيكي و... حفاظت شوند ولي اين حفاظت نبايد اشكالي در ورود مديران به اين منطقه ايجاد كند. *حفاظت فيزيكي به اين دليل مهم مي باشد كه با دسترسي به مسيرياب به راحتي و با استفاده از مراحل حذف كلمه رمز(Password recovery*) قابل اجرا است. با اين روش مي توان براحتي به قسمت هاي حساس مسيرياب دست يافت. روشهاي دسترسي به بخشهاي حساس در مسيرياب هاي مختلف متفاوت مي باشد و معمولا مراحل مشخص مي باشد. براي حذف كلمه عبور مي بايست مدير و يا هكر بايد به پورت كنسول مسيرياب متصل شده و مراحل زير را انجام دهد: - تنظيم مسيرياب براي اينكه در مرحله بوت شدن فايل هايي كه از قبل وجود دارند(NVRAM) خوانده نشده و مستقيم وارد قسمت مديريتي مسيرياب شود. - راه اندازي مجدد مسيرياب - دسترسي به محيط Accessبدون نياز به نام كاربري - بررسي كلمه هاي عبوري و يا حذف فايل هاي ذخيره شده - تنظيم مسيرياب براي اينكه فايل جديد ذخيره شده در (NVRAM) خوانده شود - راه اندازي مجدد مسيرياب دليل ديگري كه امنيت فيزيكي مي بايست رعايت شود، اين است كه مسيرياب ها داراي حافظه هاي جانبي هستند. هكر با استفاده از حافظه هايي كه داراي سيستم عامل ميباشد و تمامي تنظيماتي كه مورد نياز هكر مي باشد روي اين سيستم عامل اعمال شده است، براحتي مي تواند اين حافظه را جايگزين كرده و مسيرياب را مجدد راه اندازي نمايد اين نوع از حمله، اگر حرفه اي انجام شود براحتي قابل تشخيص نخواهد بود. محيط قرار گيري مسيرياب بايد عاري از امواج مغناطيسي و همجنين از لحاظ رطوبت و دما كنترل شده باشد. نسخه هاي نرم افزاري مسيرياب: نرم افزار مسيرياب در بازه زماني مختلف بروز رساني شده و مشكلات مربوط به آن بر طرف مي شود از اينرو دريافت اين نرم افزار و كنترل اينكه مسيرياب داراي نرم افزار بروز مي باشد، از روشهاي جلوگيري از حمله مي باشد. براي كنترل نسخه نرم افزار مسيرياب پس از ارتباط با مسيرياب از دستور show version استفاده كنيد. تنظيم مسيرياب و دستورات آن: پس از ارتباط با مسيرياب و login كردن، در محيط user mode كه به نام Exec mode هم معروف است قرار خواهيد گرفت. اين محيط دسترسي محدودي را به كاربر مي دهد. دسترسي به دستوراتي كه شامل تغيير تنظيمات اصلي مي باشد در محيط Priviledg EXEC mode اجازه استفاده دارند. اين محيط بعنوان Enable mode نيز شناخته مي شود. پس از ورود به محيط فوق، براي ايجاد انواع تغييرات و تنظيمات روي مسيرياب از دستور Config t استفاده كنيد. قسمت هاي مختلفي براي اعمال تنظيمات موجود است كه تعدادي از آنها عبارتند از : • interface (config-if): is used to configure aspects of a particular interface like FastEthernet0, Ethernet 0/1, or Vlan2. • Line (config-line): is used to set up the console port, auxiliary port and virtual terminal lines. • Access-list: There are two types of IP named access lists, extended (config-ext-n) and standard (config-std-n), which can be used instead of numbered lists. Access-list mode is used for building named access lists. • Route (config-route): is where specific parameters can be set and modified for a selected routing protocol. در جهت استاندارد كردن نحوه تصديق هويت و مشخص كردن حدود دسترسي و امكان رديابي عملكرد در مسيرياب، امكان جديدي رو مسيرياب ها از نسخه 11.1 به بعد ايجاد شد كه به authentication, (authorization, accountig)AAA معروف است. با استفاده از اين قابليت ميتوان كنترل هاي امنيتي بيشتري را روي مسيرياب پياده سازي نمود.كه نحوه عملكرد آنها را در بخش بعدي بررسي مي كنيم.**

ابزارهای موضوع
پرینت این صفحه / حالت نمایش بصورت پرینت شده ارسال این صفحه به ایمیل یک دوست یا خودتان
نحوه نمایش
حالت خطی تعویض به حالت ترکیبی تعوض به حالت رشته ای

.......